NRI Secure SANS NewsBites 日本版

Vol.15 No.12 2020年4月14日発行

──────────────────────────

■■SANS NewsBites Vol.15 No.12

(原版: 2020 4 7日、4 10日)

──────────────────────────

 

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 2┃0┃2┃0┃年┃7┃月┃東┃京┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃配┃信┃予┃定┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

 

SANS Cyber Defence Japan 2020

 https://www.sans-japan.jp/sans_cyber_defence_japan2020

 

新型コロナウイルス等の感染症の状況を考慮し、英語コースの開催を延期させて

いただくことになりました。誠に申し訳ございませんが、ご理解いただけますよう

お願い申し上げます。

 

尚、日本語コースは、ライブ配信*での開催を予定しております。

詳細等は確定次第、SANS Japan Webサイトにてご案内いたします。

 

*講師がインターネット回線を用いてオンラインで講義を配信する形態です。

 通常の教室での講義と同様に、質疑応答やハンズオンの実施も含まれます。

 

 ◆ライブ配信予定 日本語コース◆

    SEC401  Security Essentials Bootcamp Style

    SEC504  Hacker Tools, Techniques, Exploits, and Incident Handling

 

 ◇延期 英語コース◇

    SEC542  Web App Penetration Testing and Ethical Hacking

    SEC555  SIEM with Tactical Analytics

    FOR508  Advanced Incident Response, Threat Hunting, and Digital

             Forensics

    SEC560  Network Penetration Testing and Ethical Hacking

    SEC599  Defeating Advanced Adversaries - Purple Team Tactics

             & Kill Chain Defenses

    FOR500  Windows Forensic Analysis

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 

Zoomが暗号化の問題を認める (2020.4.1, 3 & 6)

トロント大学の Citizen Labが電話会議アプリ Zoomの暗号化機能を調査した結果、「秘密には適していない」との結論に達した。Zoomは当初、「エンドツーエンド暗号化」を提供していると主張していたが、先週、「一般的に受け入れられている定義と我々がそれを使用していた方法の間に矛盾があったことを認識している」とするブログを公開した。Citizen Labでは、Zoomの待機室機能にセキュリティ上の問題があることを発見し、Zoom会議でパスワードを使用することを推奨している。

 

 - https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/

 - https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

 - https://www.zdnet.com/article/zoom-concedes-custom-encryption-is-sub-standard-as-citizen-lab-pokes-holes-in-it/

 - https://www.wired.com/story/zoom-security-encryption/

 

【編集者メモ】(Pescatore)

45日、Zoomはパスワードを有効にし、待機室機能から始めるようにデフォルトを変更した。「簡単な回答は、Zoomにはより安全な代替手段があり、企業はそれらを提供し、推奨すべきであるということだ。現実の回答は、自宅で仕事をしている多くの従業員とその家族が今後数ヶ月間 Zoomを使用することになるということだ。」と、私は先週の金曜日の Newsbitesで述べたことを何度も繰り返すだろう。エンドツーエンドの暗号化問題(この用語はよく使われている)は、多くの製品で多くの問題を引き起こしている。Zoomの大きな問題は、ユーザーが保存したセッションがインターネット上で簡単に見つけられ、アクセス可能であることであり、もう一つの Zoom が取り組んでいる問題である。SANSインストラクターのニック・デイビス氏による Zoomの問題の多くを緩和する方法についての素晴らしいウェブキャストは、以下のサイトで参照できる。

https://www.sans.org/webcasts/zomg-zoom-114670

【編集者メモ】(Ullrich)

Zoomの暗号化問題を分析した Citizen Labは素晴らしい仕事をしてくれた。私が最も気になるのは、暗号化プロトコルに関する Zoomの説明の中で、使用される鍵の長さ、といった単純な記述が明らかに間違っていたという事実だ。これはまたしても、一般的な技術系スタートアップの問題を示している。すなわち、製品の能力を過信しているが、製品が実際に何をすることができるのかという、現実とはほとんど関係がない指導集団であるということだ。これは Zoomに限った問題ではなく、セキュリティのスタートアップ企業を含む、スタートアップ企業の間で蔓延している。ベンダーの主張を常にダブルチェックすべきだ。

【編集者メモ】(Neely)

使用するビデオ会議システムのセキュリティを理解することが重要だ。下記の Zoomのブログでは、Zoomの暗号化オプションについて説明しているが、これには顧客が独自の鍵管理システムを使用するためのオプションがあることを含めている。暗号化キーがどこにあり、どのように管理されているかのリスクを理解し、受け入れることは、アウトソースされたサービスにとって重要である。ユーザーガイドには、ルーム会議システム、電話、そして、手を加えていないミーティングクライアントを使用することのセキュリティの違いについて明確にする必要がある。使用するソフトウェアにかかわらず、すべての参加者がすべての機能に手を加えていないクライアントを使用することが、会議参加のための最も安全な選択肢となる。

────────────────

 

◆ 米国の一部の学区がZoomの使用を停止 (2020.4.4 & 6

ニューヨーク市の公立学校をはじめとする米国の学区は、Zoomに関するセキュリティやプライバシーへの懸念から、遠隔学習のためのテレビ会議プラットフォームの利用をやめるよう求めていると述べている。ニューヨーク市の学校理事長リチャード・カランザ氏は「安全で安心なプラットフォームでより多くの教室でビデオ会議ができるようにすることを目指している。」と述べている。他の学校では、Zoomの使用をやめたり、Zoomの使用についてより厳格なセキュリティ対策を義務づけたりしている。

 

 - https://www.washingtonpost.com/education/2020/04/04/school-districts-including-new-york-citys-start-banning-zoom-because-online-security-issues/

 - https://www.scmagazine.com/home/security-news/news-archive/coronavirus/nyc-schools-ban-zoom-amid-privacy-concerns/

 

【編集者メモ】(Pescatore)

Zoomが暗号化の問題を認める」の記事にあるより詳しいコメントを参照してほしいが、ユーザーと管理者のためのいくつかの基本的なセキュリティ衛生指導で、Zoom は教育といった多くの目的のために安全に使用することができる。1つの現実として、すべてのビジネスが緊急のバックアップ電源を必要とし、必要性に先立って定期的に切り替えテストしなければならなかったことを学んだのと同じように、同じことがリモートワーク/リモート教育などにも当てはまるだろう。企業、学校、政府は、これらの緊急遠隔対策を、より安全で管理バックアップ機能に変更する必要があるだろう。学校に消防訓練があるように、将来は「遠隔教育」の訓練が必要になる。

【編集者メモ】(Ullrich)

学校にとって、「Zoom Bombing」のような問題につながる設定の問題は現実的な問題だ。他のコラボレーションプラットフォームにも同様の問題があるかもしれないが、これらの問題は Zoomで修正可能である (そして、Zoom はより良い設定をデフォルトにすることで対処している)

【編集者メモ】(Neely)

他のテレビ会議プラットフォームに大規模に切り替えるのではなく、まずは今持っているもののセキュリティを確保することから始めるべきだ。単純な変更であれば、交換の費用をかけずに十分なセキュリティを提供できるかもしれない。ミック・ダグラス氏は、Zoomのセキュリティと関連するリスクに関する優れた分析をしている。

https://www.sans.org/webcasts/zomg-zoom-114670

【編集者メモ】(Murray)

Zoomは町で唯一のビデオ会議ゲームではない。より高価ではあるが、より成熟した競争相手を持っている。それを使用しないという決定には、より高価なオプションを支払うための資金の配分を含むべきである。学校が Zoomに対してほとんど注意を払っていないのと同様に、より成熟したシステムの安全な使用にもほとんど注意を払っていないのであれば、プラットフォームの単純な変更はあまり助けにはならないだろう。適切な構成と設定がされた Zoomは、大学のクラスサイズよりやや少ない場合には、小学校や中学校にとって良い選択肢のままである。(ただ単にデフォルト設定を変更することによって、Zoomはより悪名高い悪口に対してより抵抗力を持つようになっている。)

────────────────

 

◆ パッチが適用されていない重要なMicrosoft Exchangeサーバ (2020.4.6

Rapid7 が収集したデータによると、インターネットに接続されている 35万台以上のMicrosoft Exchangeサーバで既知の脆弱性に対するパッチがまだ適用されていないという。マイクロソフトは 2月にリモートコード実行の欠陥に対する修正プログラムをリリースしている。

 

 - https://blog.rapid7.com/2020/04/06/phishing-for-system-on-microsoft-exchange-cve-2020-0688/

 - https://duo.com/decipher/too-many-exchange-servers-remain-unpatched

 - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688https://support.microsoft.com/en-us/help/4536987/security-update-for-exchange-server-2019-and-2016

 

【編集者メモ】(Ullrich)

この脆弱性は、ユーザーの資格情報を必要とせずに悪用できるため、多くの組織で見過ごされてきた。どのようなユーザーでも利用できる。ユーザーが資格情報を再利用したり、フィッシングの対象になったりすることを懸念している場合は、この脆弱性に注意する必要がある。悪用されると、Exchangeサーバの完全な侵害につながるだろう。

────────────────

 

NASAが従業員の在宅勤務でマルウェア攻撃が「指数関数的」増加を経験する (2020.4.6

NASAの最高情報責任者(CIO)のメモによると、COVID-19 の発生により社員が在宅勤務を開始して以来、NASAは「NASAのシステムに対するマルウェア攻撃が指数関数的に増加している」という。また、NASAは、フィッシングの試みや、悪意のあるウェブサイトにアクセスしようとする機関のデバイスの数が、通常の 2倍になっていると指摘している。

 

 - https://arstechnica.com/information-technology/2020/04/nasa-sees-an-exponential-jump-in-malware-attacks-as-personnel-work-from-home/

 

【編集者メモ】(Neely)

リモートで仕事をする場合、ユーザーのシステムは企業の境界線やネットワークセキュリティシステムでは保護されていないため、ユーザーはさらに責任を負うことになる。SANS Security Awareness Work at Home Deployment toolkit (www.sans.org)の情報を活用して、ユーザーが安全で適切な選択ができるようにすることを検討してほしい。

【編集者メモ】(Honan)

犯罪者はあらゆる危機を利用して、あなたの会社や従業員を標的にする。自分の検知と対応の能力、そして、レスポンスチームが自宅で仕事をしている場合に、ご自身がどのようにインシデントを管理できるかを確認するための調査を見直してほしい。

【編集者メモ】(Murray)

「マルウェア攻撃の増加」は、ユーザーが自宅から安全ではないサイトにアクセスしたり、仕事場からアクセスできない、あるいはアクセスしない自分のパソコンからアクセスしたりすることに起因する部分もあることに注意してほしい。また、すでに汚染されている可能性のある自宅用コンピュータや家族用コンピュータの使用によるものもあるだろう。使用場所に関係なく、すべての企業で使用する場合において、企業が所有し管理するコンピュータを優先するべきだ。ユーザーへの説明、補償管理、または意図的なリスク受容の必要性を認識してほしい。

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃OUCH! 4月号「パスワード・マネージャ」について

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

たくさんのシステムやオンラインサービスを利用するときに、それぞれのアカウ

ント名やパスワードを覚えるのに苦労していませんか。このような時はパスワー

ド・マネージャの利用がお勧めです。

今月は、パスワード・マネージャについて解説するとともに、自分に合ったパス

ワード・マネージャの選び方についても、一般ユーザに分かりやすく解説します。

社内のセキュリティ意識向上ツールとしてご利用ください。

https://www.sans.org/sites/default/files/2020-03/202004-OUCH-Japanese.pdf

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

◆ 米英が COVID-19 関連のサイバー攻撃に関する共同勧告を発表 (2020.4.8)

米・国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と英国の国家サイバーセキュリティセンター(NCSC)は、COVID-19の拡散を悪用したサイバー攻撃が増加しているとの共同勧告を発表した。サイバー犯罪者は、世界保健機関(WHO)を装ったり、医療機器を提供すると主張するフィッシングメールを送信したりしている。 

 

 - https://www.fifthdomain.com/civilian/dhs/2020/04/08/dhs-cybersecurity-agency-warns-of-covid-19-phishing-attacks/

 - https://www.cyberscoop.com/coronavirus-hacking-dhs-ncsc/

 - https://www.zdnet.com/article/hackers-are-scanning-for-vulnerable-vpns-in-order-to-launch-attacks-against-remote-workers/

 - https://www.us-cert.gov/ncas/alerts/aa20-099a

 

【編集者メモ】(Pescatore)

今回の共同勧告では、現在のコロナウイルスの状況を利用した 4つの攻撃が確認されている。(1)フィッシング、(2)標的型マルウェア、(3)偽ドメイン名の登録、(4)VPNRDP、リモートアクセス全般に対する攻撃だ。本号の Newsbitesでは、それぞれの分野に関する個別のニュース項目と、より詳細なコメントを掲載しているが、全体的なテーマとしては、「セキュリティのレベルを上げよう - 組織の業務や ITプロセス/一時的な構成が安定するまでは、今こそ誤検知のリスクを高めるべきだ」ということだ。SANSはは、無償で提供している Security Work-from-Home Awareness Deployment Kit https://www.sans.org/security-awareness-training/sans-security-awareness-work-home-deployment-kitにリソースを追加し続けており、ウェブキャストも毎日配信している。https://www.sans.org/webcasts/

 

【編集者メモ】(Neely)

CISAの公報には、COVID-19に関連する不正行為のリスクを軽減するためのリソースだけでなく、観測された攻撃、IOC、緩和策のリストがかなり包括的に掲載されている。

────────────────

 

◆ インターポールが COVID-19の対応に関与する組織にマルウェアの脅威を警告 (2020.4.8

インターポールは、COVID-19への対応に協力している組織がランサムウェアの標的にされていることを警告している。また、インターポールは、病院やその他の組織に対するランサムウェアの脅威が増大していることについて、加盟国 194カ国の警察に通知する「Purple Notice」を発行している。 

 

 - https://www.scmagazine.com/home/security-news/news-archive/coronavirus/interpol-warns-hospitals-about-covid-19-based-ransomware-threat/

 - https://www.interpol.int/en/News-and-Events/News/2020/Cybercriminals-targeting-critical-healthcare-institutions-with-ransomware

 

【編集者メモ】(Pescatore)

自宅で仕事をしている従業員が、新たに作成した情報を自宅のPCに展開する可能性がある場合、バックアップを厳格に行うことはあまり考えられない。既存のものや一時的なもの(企業で Office365/Dropboxなどのサービスのクラウドストレージ機能を利用するなど)についてのガイダンスを押し出すべきである。

────────────────

 

◆ 在宅勤務者の増加により、リモートデスクトッププロトコルのインターネット利用が増加 (2020.4.9

ハッカーは、在宅で仕事をする人の影響でリモートデスクトッププロトコル(RDP)の露出が増えていることを利用している。3月下旬、Shodan RDPサービスの露出が増加していることを指摘した。RDPがインターネットに晒されるのであれば、慎重に設定する必要がある。

 

 - https://isc.sans.edu/forums/diary/Increase+in+RDP+Scanning/25994/

 - https://duo.com/decipher/rdp-drawing-unwanted-attention

 

【編集者メモ】(Pescatore)

昨年、ヨハネス・ウルリッヒ氏と SANS Internet Storm Center RDPのセキュリティについての良い記事を投稿した。Bluekeepの脆弱性に焦点を当てたものだが、RDPを使用しなければならない場合のリスクを軽減するための、良い一般的なアドバイスが書かれている。

https://isc.sans.edu/forums/diary/An+Update+on+the+Microsoft+Windows+RDP+Bluekeep+Vulnerability+CVE20190708+now+with+pcaps/24960/

【編集者メモ】(Neely)

ユーザーが最初に VPNやその他のセキュリティ・ゲートウェイに接続してから RDPセッションにアクセスすることで、RDPサーバーを直接攻撃から守ることができる。3389ポートをインターネットに公開すると、非常に魅力的な標的になる。また、発見された資格情報の使用を防ぐために、アクセスを許可する前に強力な (多要素認証などの)認証が必要であることを確認するべきだ。セキュリティのベストプラクティスガイドに従ってほしい。予期せぬ活動に気づくためのモニタリングとアラートを実装するべきだ。実装を変更できるかどうかに関わらず、実装したセキュリティ監視とコントロールが機能していることを確認してほしい。

【編集者メモ】(Murray)

「デスクトップ」ではなく「アプリケーション」に接続してほしい。エンドツーエンドのアプリケーション層の暗号化を推奨する。従業員が所有するコンピュータは、エンタープライズアプリケーションのリモート操作にのみ使用する必要がある。

 

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■┃申込受付中のオンラインセミナー        <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

417()

 <オンラインセミナー>CISSPチャレンジセミナー

  「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」

 https://www.nri-secure.co.jp/seminar/2020/cissp02?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■┃申込受付中のオンラインセミナー        <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

6月:オンライン(ライブ配信)

 9月、10月、11月、12月、20211月、2月、3月:オンサイト(会場型)

 CISSP CBKトレーニング

 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

8月、20212

 セキュアEggs

 (基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)

 https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃ebook(無料ダウンロード)                       NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

 https://www.secure-sketch.com/ebook-download/insight2019-report?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

EDR導入ガイド

 - インシデント前提社会の最適解 -

 https://www.secure-sketch.com/ebook-download/recommend-edr-use?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

○新任システム管理者のための特権ID管理入門書

 https://www.secure-sketch.com/ebook-download/privileged-account-management-for-beginner?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

>>ダウンロード資料一覧

 https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃コラム(Secure SketCH ブログ)                    NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○テレワークで情報システム管理を実施する前に考慮すべき3つのこと

 https://www.secure-sketch.com/blog/points-to-manage-systems-with-teleworking?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

○クラウドネイティブ化に伴うセキュリティ課題とその解決策

 https://www.secure-sketch.com/blog/cloud-native-shift?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

SASEとは?オールインワン製品でDX推進に向けた効率的なセキュリティ投資を!

 https://www.secure-sketch.com/blog/secure-access-service-edge?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

>>ブログ記事一覧

 https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃Secure SketCH 無料登録受付中 <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

30分でわかる!貴社に必要なセキュリティ対策

 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

Secure SketCHサービス紹介資料

 https://www.secure-sketch.com/ebook-download/tag/secure-sketch?utm_source=sans&utm_medium=mail&utm_campaign=20200413sans

 

--

 

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。

https://www.nri-secure.co.jp/news_letter

 

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。